Définir les types MIME téléchargeables restreints [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
Utilisez la propriété pour télécharger des glide.ui.attachment.force_download_all_mime_types types MIME et ne pas les afficher en ligne dans le navigateur.
S’il glide.ui.attachment.download_mime_types contient des éléments dangereux tels que text/html, image/svg, image/svg+xml, application/xml, les fichiers dangereux peuvent être affichés en ligne dans le navigateur, ce qui peut entraîner des attaques de script Cross Sitte (XSS). Cette propriété correspond à la liste des types MIME de pièce jointe séparés par des virgules qui ne seront pas affichés en ligne dans le navigateur. Par exemple, l’inclusion de text/html forcera le téléchargement des fichiers HTML vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. La gestion correcte de cette liste évite les attaques de script de site à site.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.ui.attachment.force_download_all_mime_types |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | booléen |
| Catégorie | Validation, nettoyage et codage |
| Objectif | Empêcher l’affichage des types de fichiers dans le navigateur afin d’éviter toute exécution de script malveillant caché. |
| Évaluation CVSS | 8 |
| Valeur par défaut | VRAI |
| Valeur recommandée | VRAI |
| Impact fonctionnel | Cette correction renforce la performance des contrôles de validation avant d’effectuer une action lorsque vous cliquez sur une pièce jointe dans une Now Platform application. Il n’y a pas d’impact potentiel, mais l’expérience utilisateur est altérée. |
| Risque de sécurité | (Élevé) Les vecteurs d’attaque par script côté client se présentent sous différentes formes et l’abus de pièce jointe de type MIME ne fait pas exception. Les attaquants peuvent abuser des types MIME et placer du contenu de script non souhaité dans la pièce jointe du côté de la victime pour capturer des informations sensibles. La possibilité d’avoir des XSS peut conduire à une escalade de privilège facilement atteinte vers des rôles plus élevés, tels que l’administrateur, où un mouvement plus latéral peut être effectué. Dans le contexte actuel, renseignez la propriété avec une liste de types MIME de pièce jointe séparés par des virgules qui ne doivent pas être affichés en ligne dans le navigateur. Exemples : text/html, text/csv |
| Liens connexes | Restreindre les types MIME téléchargeables [Mis à jour dans Centre de sécurité 1.3 et 2.0]. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.